局域网安全-生成树攻击-ARP攻击-MAC攻击-VTP攻击-动态VLAN的攻击

一、MAC layer attacks

1.CAM表的OVERLOAD 第三方设备不断发送变化的MAC地址，填满CAM表，对于后来合法的MAC地址不能学习到从而泛洪，这时攻击者将学习到合法者的数据包。

2.MAC地址的SPOOFING 攻击者模拟合法用户的MAC地址。

解决方案：

    1、基于源MAC地址允许流量：端口安全

    2、基于源MAC地址限制流量：static CAM

    3、阻止未知的单/组播帧

    4、802.1x基于端口的认证

 

二、VLAN attacks

有些报告称，某些交换机在高流量负载下会发生VLAN间数据泄露-不现实

 

可行的攻击方法：

1.DTP滥用（VLAN攻击的基础）

用主机发送on模式或者DES模式的的DTP报文，使得成为Trunk链路，这样其他用户的数据就可以发送过来了，也可以发送出去了

攻击软件：Yersinia，sniffer pro

 

2.DOT1Q攻击和ISL攻击（单向）

用主机发送双TAG，但里面的必须是Native VLAN的帧，也就是说网络里面的Native VLAN必须和攻击者相同

 

3.用PVLAN跳跃攻击

对ISL也有效，二层交换机不关心IP地址，路由器一般也不会做MAC的过滤

通过PVLAN隔离的主机仍然使用共同的网关，发送这样一种数据包，源MAC及IP地址有效，但目的MAC替换成网关路由器的MAC地址，那么交换机将转发此数据包到路由器上，而路由器查看其IP地址，将其定向到目标上，数据包的源MAC地址会被路由器的MAC地址替换掉，又一次单向攻击

 

4.VTP攻击

大多数网络管理员没有设置MD5认证，先用DTP攻击，然后设置高修订号的VTP消息即可

 

5.动态VLAN的攻击（使用VLAN查询协议VQP攻击）

 

6.绕过VLAN分段进行迂回攻击

使用CST时，所有VLAN的流量都会通过根桥

 

解决方案：1、switch mode access 但是依然接受带标记的帧

          2、VACL

          3、PVLAN

 

三、生成树攻击

1.插入恶意根网桥

让自己的主机成为根桥，使得局域网流量流向自己，又分为单宿主和多宿主两种方式

 

2.在无需成为根的条件下修改流量路径

通过更改链路的COST，导致STP重新收敛，使流量流向自己

 

3.重算STP及数据嗅探

发TCN报文，导致STP重新收敛，而且所有交换机的MAC地址老化时间变成15S，并且MAC地址清空，这样就可以收到所有流量，比如说此时进行MAC泛洪，这样每台交换机都成了HUB了，嘿嘿

 

4.STP DoS攻击

目的：主要是阻断网络，而不是使网络停止工作

比如说，使得去往IDS和IPS的流量减少，隐藏自己的踪迹

或者切分网络，就是有2个一模一样的根网桥

 

后果，没完没了的根网桥选举或根网桥失踪

 

做法：泛洪TC BPDU和TCN，并且可以将max-age设到最小值来使根网桥失踪

 

使用工具：STP-SPOOF，Yersinia

用Yersinia不断的发送TC和TCN的BPDU即可

 

解决方案:1.Portfast         

         2.BPDU保护

         3.BPDU过滤

         4.根保护

 

 

四、spoof attacks

    1、DHCP spoof

       流氓DHCP服务器，设置网关为自己，骗取客户的流量

       解决方案：DHCP snooping

    2、IP spoof

       伪造别人使用的合法IP地址，来使用网络

       解决方案：IP 源防护

    3、ARP spoof

       对路由器的ARP欺骗

       对PC的ARP欺骗

欺骗方式：一种是欺骗主机作为“中间人”，定期发送无故ARP，被欺骗主机的数据都经过它中转一次，这样欺骗主机可以窃取到被它欺骗的主机之间的通讯数据；另一种让被欺骗主机直接断网。

       

       解决方案：1、由网关等设备或者软件定期发送正确的ARP信息（没啥用）

                2、静态绑定ARP条目，在网关和PC上双向绑定

                3、DAI（彻底解决）

 

五、attacks on switch devices

    1、关闭CDP

    2、限制广播/组播流量

    3、为交换机设置登录密码

    4、使用SSH实现安全的登录